CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede heyckendorff Praktikant
15. juli 2004 - 17:21 Der er 3 kommentarer og
1 løsning

Home Search spyware

Jeg har fået en irriterende spyware der hele tiden laver min startside om til: res://rkgci.dll/index.html#37680
Siden der dukker op hedder Home Search og jeg kan ikke komme af med den. Hverken Ad-Aware AVG Antivirus eller Spyboot finder noget mistænkeligt. HiJack this finder den og jeg har prøvet at fjerne alt hvad jeg umiddelbart kunne finde der havde noget med den at gøre. Har også søgt i regestreringsdatabasen hvor jeg fandt to ting der hed noget med Startpage rkgci.dll og Homepage rkgci.dll og har slette dem begge men den bliver ved at dukke op igen. Min seneste HiJackThis log ser således ud:
Logfile of HijackThis v1.97.7
Scan saved at 17:19:16, on 15-07-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~2\GRISOFT\AVG6\avgserv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\d3ar.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~2\GRISOFT\AVG6\avgcc32.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINNT\system32\hphmon04.exe
C:\Program Files\MSN Apps\Updater\01.02.0000.2693\da\msnappau.exe
C:\PROGRA~1\Logitech\WINGMA~1\Lwpevntm.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINNT\system32\sysec.exe
C:\WINNT\system32\HPHipm11.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINNT\system32\appxy32.exe
C:\WINNT\SYSTEM32\cbfks.exe
C:\WINNT\system32\syscdd2.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\sysec.exe
C:\WINNT\system32\syscdd2.exe
C:\Program Files\3DO\Heroes3\RegisterSOD\Remind32.exe
C:\WINNT\SYSTEM32\devot.exe
C:\WINNT\SYSTEM32\cbfks.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Fra C\Programmer\HiJack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\rkgci.dll/sp.html#37680
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://rkgci.dll/index.html#37680
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://rkgci.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\rkgci.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://rkgci.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\rkgci.dll/sp.html#37680
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0D789A5D-3EB8-F8ED-FA6B-6F6FA212008C} - C:\WINNT\system32\d3ca32.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~2\GRISOFT\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [Lwinst Run Profiler] C:\PROGRA~1\Logitech\WINGMA~1\Lwinst.exe -d -l "C:\PROGRA~1\Logitech\WINGMA~1\Lwpevntm.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINNT\system32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] "C:\Program Files\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"
O4 - HKLM\..\Run: [Updater] "C:\Program Files\MSN Apps\Updater\01.02.0000.2693\da\msnappau.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Overnet] C:\Program Files\Overnet\eDonkey2000.exe -t
O4 - HKLM\..\Run: [Microsoft Synchronization Manager] sysec.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [appxy32.exe] C:\WINNT\system32\appxy32.exe
O4 - HKLM\..\Run: [ICQMsn] C:\WINNT\SYSTEM32\cbfks.exe
O4 - HKLM\..\Run: [ICQ] syscdd2.exe
O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] sysec.exe
O4 - HKLM\..\RunServices: [ICQ] syscdd2.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Window Washer] C:\PROGRAMMER\Webroot\Washer\wwDisp.exe /startup
O4 - HKCU\..\Run: [Microsoft Synchronization Manager] sysec.exe
O4 - HKCU\..\Run: [ICQ] syscdd2.exe
O4 - Startup: H3 The Shadow of Death(TM).lnk = C:\Program Files\3DO\Heroes3\RegisterSOD\Remind32.exe
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O16 - DPF: {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - http://194.255.127.250/WOCO/applet
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/12119/CTSUEng.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/089cfbcaf6fcaec36418/netzip/RdxIE601.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/zuma/default/popcaploader_v5.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/12119/CTPID.cab

Hvad gør jeg?
Avatar billede jb2003 Nybegynder
16. juli 2004 - 09:05 #1
Hej
http://www.hsremove.com/ download og kør hsremove.exe.
Kør windows update, opdaterer din antivirus. Tøm alle temporary mapper.
Efterfølgende kør spybot og evt adaware.
Avatar billede heyckendorff Praktikant
16. juli 2004 - 22:57 #2
Hejsa
Har allerede kørt HSremove uden resultat
HAr også gjort følgende:
Startet op i fejlsikret tilstand
Kørt HiJackThis og fjernet alle mistænkelige HBO'er
Dernæst kørt About.Buster og ladet den fjerne alle R0'ere og R1'ere som ikke skulle være der.
Dernæst manuelt tjecket registrereingsdatabasen for alle entrys der hedder noget med _NS_service_#
Så søgt i registrereingsdatabasen efter alt der hed det samme som den random.dll som HiJackThis fandt og slette dem manuelt.
Derfter kørt ad-avare som så intet finder.
Så igen kørt såvel About.buster og HiJackThis som heller intet finder.
Men men men...nå jeg så genstarter er den der igen.
Min logfil efter genstart ser f.eks. således ud:
Logfile of HijackThis v1.97.7
Scan saved at 12:42:06, on 16-07-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~2\GRISOFT\AVG6\avgserv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\d3ar.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~2\GRISOFT\AVG6\avgcc32.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINNT\system32\hphmon04.exe
C:\Program Files\MSN Apps\Updater\01.02.0000.2693\da\msnappau.exe
C:\PROGRA~1\Logitech\WINGMA~1\Lwpevntm.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINNT\system32\HPHipm11.exe
C:\WINNT\system32\sysec.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINNT\SYSTEM32\cbfks.exe
C:\WINNT\system32\syscdd2.exe
C:\WINNT\system32\internat.exe
C:\PROGRAMMER\Webroot\Washer\wwDisp.exe
C:\WINNT\system32\sysec.exe
C:\WINNT\system32\syscdd2.exe
C:\Program Files\3DO\Heroes3\RegisterSOD\Remind32.exe
D:\Fra C\Programmer\HiJack This\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {8BA5AA24-CFC3-8FE8-E181-DF46D25744A6} - C:\WINNT\system32\apirb.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~2\GRISOFT\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [Lwinst Run Profiler] C:\PROGRA~1\Logitech\WINGMA~1\Lwinst.exe -d -l "C:\PROGRA~1\Logitech\WINGMA~1\Lwpevntm.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINNT\system32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] "C:\Program Files\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"
O4 - HKLM\..\Run: [Updater] "C:\Program Files\MSN Apps\Updater\01.02.0000.2693\da\msnappau.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Overnet] C:\Program Files\Overnet\eDonkey2000.exe -t
O4 - HKLM\..\Run: [Microsoft Synchronization Manager] sysec.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [ICQMsn] C:\WINNT\SYSTEM32\cbfks.exe
O4 - HKLM\..\Run: [ICQ] syscdd2.exe
O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] sysec.exe
O4 - HKLM\..\RunServices: [ICQ] syscdd2.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Window Washer] C:\PROGRAMMER\Webroot\Washer\wwDisp.exe /startup
O4 - HKCU\..\Run: [Microsoft Synchronization Manager] sysec.exe
O4 - HKCU\..\Run: [ICQ] syscdd2.exe
O4 - Startup: H3 The Shadow of Death(TM).lnk = C:\Program Files\3DO\Heroes3\RegisterSOD\Remind32.exe
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/12119/CTSUEng.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/zuma/default/popcaploader_v5.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/12119/CTPID.cab

Jeg fornemmer at det er den her der er problemet:
O2 - BHO: (no name) - {8BA5AA24-CFC3-8FE8-E181-DF46D25744A6} - C:\WINNT\system32\apirb.dll

Jeg har prøvet at lede efter .dll'en med Search men den er ingen steder at finde.
Skal lige til sidst for en god ordens skyld nævne at alle de Removal programmer jeg bruger er de seneste nye, og at CWShredder slet ikke finder noget mistænkeligt
Avatar billede heyckendorff Praktikant
18. juli 2004 - 07:37 #3
sig mig har jeg placeret spørgsmålet et forkert sted eller er jeg for fedtet med pointene siden ingen kommer med løsningsforslag? Eller er der ganske enkelt ingen der ved hvordan man slipper af med den fordømte Hijacker?
Avatar billede heyckendorff Praktikant
18. juli 2004 - 13:11 #4
lukker og opretter nyt
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Findes der mon et Antivirus program, som ikke, konstant, reklamerer, for at købe ? Af Ikke-ekspert i Virus 21 22/06/202419:22 23/06/202412:54
Anbefaling af antivirusprogram med firewall Af OnePlusFan i Virus 23 07/05/202421:02 13/05/202419:48
trusler Af gerhardpet i Virus 4 26/01/202410:02 27/01/202408:32
Kan ikke fjerne virus Af mik28 i Virus 16 09/01/202416:37 10/01/202419:59
virusscanning Af JetteD i Virus 2 10/11/202312:55 10/11/202316:36
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
IT-JOB

Udviklings- og Forenklingsstyrelsen

ITSM-koordinator

Udviklings- og Forenklingsstyrelsen

Systemarkitekt med faglig tyngde og mod på udfordringer til One Stop Moms 2

De Nationale Geologiske Undersøgelser for Danmark og Grønland (GEUS)

IT-systemadministrator søges til GEUS

Sydbank

Erfaren DevOps engineer til Digital Banking

Billetkontoret A/S

.NET Full Stack Developer
Seneste spørgsmål Seneste aktivitet
43 min siden Gmail-ikon på skrivebordet Win 10 Af ErikHg i Fri debat
I dag 09:22 Lopslag Af Luffe i Excel
I går 19:15 Personlige indstillinger på Facebook Af nu_igen i Sociale medier
I går 17:56 Bluetooth Højttalersæt Af valby i Andet hardware
I går 16:52 Flextids registrering Af Kenneth Kirsgart i Excel
White papers
Flere white papers »


Premium
Teaser billede
AI kan gøre danske projektledere arbejdsløse, hvis ikke de passer på: "Både hastigheden og præcisionen i arbejdet vil stige "
Læs mere »
Microsoft og Lenovo har fanget den, Dell er med og SAP sakker bagud i vores Image-undersøgelse: Her er hele listen
Efter forbud fra Datatilsynet: Nu ændres data-håndteringen i din kørekort-app
Halter mange år bagefter: Langsom software-udvikling udfordrer kæmpe digitalt løft af Billund Lufthavn
Se alle »
Computerworld
Teaser billede
Softwarefirmaet Teamviewer med 640.000 kunder globalt ramt af avanceret hackerangreb
Læs mere »
En pladesaks, 1000W og et Nvidia-grafikkort til 14.000 kroner - sådan opgraderede jeg min pc
Dansk-stiftet ingeniørfirma blev franarret 178 millioner kroner i deepfake-svindel
Test: Endelig en skærm der er god til alt - lige fra gaming og underholdning til kontorbrug
Se alle »
CIO
Teaser billede
Efter stort hackerangreb mod Teamviewer: Stop dine opdateringer og tjek opsætningen nu
Læs mere »
I dag træder nye de regler om registrering af din arbejdstid i kraft: Er du klar?
Frygtet melding: Russiske hackere har stjålet Microsoft-kunders e-mails
Russisk hack af Microsoft er meget større end først antaget
Se alle »
Job & Karriere
Teaser billede
Bo solgte sit software-system for et treciftret millionbeløb: Brugte pengene på at købe 80 medarbejdere til ny storsatsning
Læs mere »
Norlys skal splittes op i fem selskaber: Nu bliver flere ansatte og ledere fyret
Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv
IBM Danmark skifter ud i sin øverste ledelse - her er den nye direktion
Se alle »
White paper
Teaser billede
Optimering af Source-to-Pay: Identificér oplagte gevinster og skær omkostninger
Læs mere »
SASE: Træf det rette valg – første gang
Sådan gør du: Elektronisk dokumentudveksling i praksis
Samlet platform sikrer sammenhæng, kontrol og sikkerhed i hybrid cloud
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »